gre over ipsec mtu及mss问题

最近在实施 gre over ipsec 的时候发现一个问题,ping能通,端口也通,就是无法打开业务网页

 

在介绍MSS之前我们必须要理解下面的几个重要的概念。

MTU: Maxitum Transmission Unit 最大传输单元
MSS: Maxitum Segment Size 最大分段大小
PPPoE: PPP Over Ethernet(在以太网上承载PPP协议),就是因为这个协议的出现我们才有必要修改我们的MSS或者是MTU值。
MTU最大传输单元,这个最大传输单元实际上和链路层协议有着密切的关系,EthernetII帧的结构DMAC+SMAC+Type+Data+CRC
           由于以太网传输电气方面的限制,每个以太网帧都有最小的大小64bytes最大不能超过1518bytes,对于小于或者大于这个限制的以太网帧我们都可以视之为错误的数据帧,一般的以太网转发设备会丢弃这些数据帧。

于以太网EthernetII最大的数据帧是1518Bytes这样,刨去以太网帧的帧头(DMAC目的MAC地址
48bit=6Bytes+SMAC源MAC地址48bit=6Bytes+Type域2bytes)14Bytes和帧尾CRC校验部分
4Bytes(这个部分有时候也把它叫做FCS),那么剩下承载上层协议的地方也就是Data域最大就只能有1500Bytes,这个值我们就把它称之为
MTU。这个就是网络层协议非常关心的地方,因为网络层协议比如IP协议会根据这个值来决定是否把上层传下来的数据进行分片。

当两台远程PC互联的时候,它们的数据需要穿过很多的路由器和各种各样的网络媒介才能到达对端,网络中不同媒介的MTU各不相同。我们可以看下面的简单的组网图。
PC1(192.168.0.1)―――Router――――Internet―――-www server(238.136.1.1)
         建立tcp连接的两端在三次握手时会协商tcp mss大小,具体如下:
       
pc1 发出syn报文,其中option选项填充的mss字段一般为1460,同样www
server收到syn报文后,会发送syn+ack报文应答,option选项填充的mss字段也为1460;协商双方会比较syn和syn+ack报
文中mss字段大小,选择较小的mss作为发送tcp分片的大小。通过比较,协商双方的tcp mss都是1460。

 

 

对于网络层的上层协议而言(我们以TCP/IP协议族为例)网络层IP协议会检查每个从上层协议下来的数据包的大小,并根据本机MTU的大小决定是否作
“分片”处理。分片最大的坏处就是降低了传输性能,本来一次可以搞定的事情,分成多次搞定,所以在网络层更高一层(就是传输层)的实现中往往会对此加以注
意!所以会在IP数据包包头里面加上一个标签:DF(Donot
Fragment)。这样当这个IP数据包通过多个路由其进行网络传输的时候,如果遇到MTU小于IP数据包的情况,转发设备就会根据要求丢弃这个数据
包。然后返回一个错误信息给发送者。这样往往会造成某些通讯上的问题,不过幸运的是大部分网络链路都是MTU1500或者大于1500。
        对于UDP协议而言,这个协议本身是无连接的协议,对数据包的到达顺序以及是否正确到达不甚关心,所以一般UDP应用对分片没有特殊要求。

对于TCP协议而言就不一样了,这个协议是面向连接的协议,对于TCP协议而言它非常在意数据包的到达顺序以及是否传输中有错误发生。所以有些TCP应用
对分片有要求---不能分片(DF)。PPPoE所谓PPPoE就是在以太网上面跑PPP协议,就是在我们传输的链路层协议上添加一层PPPOE的报头。
这样相当于整个数据包的变大了。
      为什么会产生这种奇怪的需求呢?这是因为随着宽带接入(这种宽带接入一般为Cable
Modem或者xDSL或者以太网的接入)由于以太网缺乏认证计费机制而传统运营商是通过PPP协议来对拨号等接入服务进行认证计费的,PPPoE带来了
好处,也带来了一些坏处,比如:二次封装耗费资源,降低了传输效能等等,最大的坏处就是PPPoE导致MTU变小了,以太网的MTU是1500,再减去
PPP的包头包尾的开销(8Bytes),就变成1492。
      如果两台主机之间的某段网络使用了PPPoE那么就会导致某些不能分片的应用无法通讯。
这个时候就需要我们调整一下主机的MTU,通过降低主机的MTU,这样我们就能够顺利地进行通讯了。当我们的PC链接服务器的时,只能PING通,却不能通过网页访问时,这时我们就需要考虑MSS值的大小是否正确了,一般情况下都是由MSS值不对造成的。

 

当然对于TCP应用而言还有另外的解决方案。就是在TCP 中有一个OPTIONS这里有一个MSS的选项。MSS
就是TCP数据包每次能够传输的最大数据分段。为了达到最佳的传输效能TCP协议在建立连接的时候通常要协商双方的MSS值,这个值TCP协议在实现的时
候往往用MTU值代替(需要减去IP数据包包头的大小20Bytes和TCP数据段的包头20Bytes)所以往往MSS为1460。通讯双方会根据双方
提供的MSS值得最小值确定为这次连接的最大MSS值。这是在IPV4的协议中,而在IPV6协议中一般情况下MSS的值为1440,这是因为,IPv6
中的IP头的大小是40bytes,比IPV4的大20个bytes.

我们试想一下,如果我们在中间路由器上把每次TCP连接的最大MSS进行调整这样使得通过PPPoE链路的最大MSS值加上数据包头包尾不会超过
PPPoE的MTU大小1492这样就不会造成无法通讯的问题.所以上面的问题可以通过ip tcp adjust-mss
1452来解决。很多的路由器配置上会有这个配置选项。如果对于IPV6的话可以调整为1432.当我们不改变中间路由器的情况下,也可以通过改变我们主
机的MTC来解决。当主机的MTU值从1500改变为1492时,就相当于去掉了EthernetII和PPPOE头部的长度。

 

posted @ 2021-11-25 09:07  行者Sun  阅读(1158)  评论(0编辑  收藏  举报